Etki Alanı Adı Sistemi (DNS) istemci bilgisayarları her değişiklik olduğunda kaynak kayıtlarını kaydettirmek ve bir DNS sunucusuyla dinamik olarak güncelleştirmek için dinamik güncelleştirme özelliğini kullanabilir. Böylece, özellikle de sık sık taşınan veya konumu değiştirilen ve Dinamik Ana Bilgisayar Yapılandırma Protokolü'nü (DHCP) kullanarak bir IP adresi alan istemciler için bölge kayıtlarının elle yönetilmesi gereksinimi azalır.
"Etki Alanı Adı Sisteminde Dinamik Güncelleştirmeler" adlı Açıklama İsteği (RFC) 2136'da açıklandığı gibi, DNS İstemcisi ve DNS Sunucusu hizmetleri dinamik güncelleştirmeler kullanılmasını destekler. DNS Sunucusu hizmeti, standart bir birincil veya dizinle tümleşik bölgeyi yükleyecek biçimde yapılandırılmış sunucularda her bölge için dinamik güncelleştirmenin etkinleştirilmesine veya devre dışı bırakılmasına olanak verir. DNS İstemcisi hizmeti varsayılan olarak TCP/IP için yapılandırıldığında DNS'deki ana bilgisayar (A) kaynak kayıtlarını dinamik olarak güncelleştirir.
İstemci ve sunucu bilgisayarları DNS adlarını nasıl güncelleştirir
TCP/IP için statik olarak yapılandırılan bilgisayarlar, varsayılan olarak yüklü ağ bağlantıları tarafından yapılandırılan ve kullanılan IP adresleri için ana bilgisayar (A) ve işaretçi (PTR) kaynak kayıtlarını dinamik olarak kaydettirmeye çalışır. Tüm bilgisayarlar kayıtları varsayılan olarak tam etki alanı adlarına göre (FQDN) kaydettirir.
Birincil ana bilgisayar adı olan FQDN, bir bilgisayarın birincil DNS sonekine bilgisayar adı eklenerek oluşturulur.
Dikkat edilecek diğer noktalar:
-
Varsayılan olarak, DNS istemcisi üst düzey etki alanı (TLD) bölgeleri için dinamik güncelleştirme gerçekleştirmeye çalışmaz. Tek etiketli ad kullanılarak adlandırılan bir bölgenin com, edu, blank, my-company gibi bir TLD bölgesi olduğu varsayılır. DNS istemcisini TLD bölgelerini dinamik olarak güncelleştirecek biçimde yapılandırmak için, Üst Düzey Etki Alanı Bölgelerini Güncelleştir ilke ayarını kullanabilir veya kayıt defterini değiştirebilirsiniz.
-
Varsayılan olarak, bir bilgisayarın FQDN'sinin birincil DNS soneki bölümü, bilgisayarın katıldığı Active Directory Etki Alanı Hizmetleri (AD DS) etki alanının adıyla aynıdır. Farklı birincil DNS sonekleri kullanılmasına izin vermek için, bir etki alanı yöneticisi etki alanı nesne kapsayıcısında msDS-AllowedDNSSuffixes özniteliğini değiştirerek, izin verilen sonekler için sınırlandırılmış bir liste oluşturabilir. Bu öznitelik, etki alanı yöneticisi tarafından Active Directory Hizmeti Arabirimleri (ADSI) veya Basit Dizin Erişim Protokolü (LDAP) kullanılarak yönetilir.
Dinamik güncelleştirmeler aşağıdaki nedenler veya olaylar sonucunda gönderilebilir:
-
Yüklü ağ bağlantılarından birinin TCP/IP özellikleri yapılandırmasına bir IP adresi eklenir, kaldırılır veya değiştirilir.
-
Yüklü ağ bağlantılarından birinin DHCP sunucusunda bir IP adresi kirası değişir veya yenilenir. Örneğin, bilgisayar başlatıldığında veya ipconfig /renew komutu kullanıldığında bu olay gerçekleştirilir.
-
DNS'deki istemci ad kaydının yenilenmesini el ile zorlamak için ipconfig /registerdns komutu kullanılır.
-
Başlangıç sırasında, bilgisayar açıldığında.
-
Bir üye sunucu etki alanı denetleyicisine yükseltilir.
Yukarıdaki olaylardan biri bir dinamik güncelleştirmeyi tetiklediğinde, DHCP İstemcisi hizmeti güncelleştirmeleri gönderir (DNS İstemcisi hizmeti değil). Bu işlem, DHCP nedeniyle IP adresi bilgilerinde bir değişiklik olursa DNS'de karşılık gelen güncelleştirmeler gerçekleştirilerek bilgisayarın ad-adres eşlemeleri eşitlenecek biçimde tasarlanmıştır. DHCP İstemcisi hizmeti bu işlevi DHCP kullanacak biçimde yapılandırılmış bağlantılar da dahil olmak üzere sistemdeki tüm ağ bağlantıları için gerçekleştirir.
Örnek: Dinamik güncelleştirme nasıl çalışır
Tipik olarak, dinamik güncelleştirmeler bilgisayarda bir DNS adı veya IP adresi değişirse istenir. Örneğin, oldhost adlı bir istemcinin ilk olarak aşağıdaki adlarda Sistem özellikleri'nde yapılandırıldığını varsayalım.
|
Bilgisayar adı |
oldhost |
|
Bilgisayarın DNS etki alanı adı |
tailspintoys.com |
|
Tam bilgisayar adı |
oldhost.tailspintoys.com |
Bu örnekte, bilgisayar için bağlantıya özgü DNS etki alanı adları yapılandırılmamıştır. Daha sonra, oldhost olan bilgisayar adı newhost olarak yeniden adlandırıldığında sistemde aşağıdaki ad değişiklikleri gerçekleşir.
|
Bilgisayar adı |
newhost |
|
Bilgisayarın DNS etki alanı adı |
tailspintoys.com |
|
Tam bilgisayar adı |
newhost.tailspintoys.com |
Ad değişikliği Sistem özellikleri'nde uygulandıktan sonra bilgisayarı yeniden başlatmanız istenir. Bilgisayarda Windows yeniden başlatıldıktan sonra, DHCP İstemcisi hizmeti aşağıdaki sırayı izleyerek DNS'yi güncelleştirir:
-
DHCP İstemcisi hizmeti bilgisayarın DNS etki alanı adını kullanarak yetki başlangıcı (SOA) türünde bir sorgu gönderir.
İstemci bilgisayar bilgisayarın yapılandırılmış olan geçerli FQDN'sini (newhost.tailspintoys.com gibi) bu sorguda belirtilen ad olarak kullanır.
-
Bölgedeki istemci FQDN'sini içeren yetkili DNS sunucusu SOA türünde sorguya yanıt verir.
Standart birincil bölgeler için, SOA sorgu yanıtında döndürülen birincil sunucu (sahip) sabit ve statiktir. Bölgeyle birlikte depolanan SOA kaynak kaydında görünen DNS adıyla her zaman tam olarak eşleşir. Ancak güncelleştirilmekte olan bölge dizinle tümleşikse, bölgeyi yükleyen bir DNS sunucusu yanıt verebilir ve SOA sorgu yanıtında bölgenin birincil sunucusu (sahibi) olarak kendi adını dinamik olarak yükleyebilir.
-
DHCP İstemcisi hizmeti daha sonra birincil DNS sunucusuna başvurmaya çalışır.
İstemci SOA sorgu yanıtını kendi adı için işleyerek birincil sunucu olarak yetkilendirilmiş DNS sunucusunun IP adresini belirler. Daha sonra birincil sunucusuna başvurmak ve dinamik olarak güncelleştirmek üzere aşağıdaki adımları sırayla gerçekleştirir:
-
SOA sorgu yanıtında belirlenen birincil sunucuya bir dinamik güncelleştirme isteği gönderir.
Güncelleştirme başarılı olursa başka eylem yapılmaz.
-
Bu güncelleştirme başarısız olursa, istemci SOA kaydında belirtilen bölge adı için ad sunucusu (NS) türünde bir sorgu gönderir.
-
Bu sorguya yanıt aldığında yanıtta listelenen ilk DNS sunucusuna bir SOA sorgusu gönderir.
-
SOA sorgusu çözümlendikten sonra, istemci döndürülen SOA kaydında belirtilen sunucuya bir dinamik güncelleştirme gönderir.
Güncelleştirme başarılı olursa başka eylem yapılmaz.
-
Bu güncelleştirme başarısız olursa, istemci yanıtta listelenen sonraki DNS sunucusuna göndererek SOA sorgusu işlemini yineler.
-
SOA sorgu yanıtında belirlenen birincil sunucuya bir dinamik güncelleştirme isteği gönderir.
-
Güncelleştirmeyi gerçekleştirebilen birincil sunucuyla bağlantı kurulduktan sonra, istemci güncelleştirme isteğini gönderir ve bu istek sunucu tarafından işlenir.
Güncelleştirme isteğinin içeriği newhost.tailspintoys.com için ana bilgisayar (A) (ve muhtemelen işaretçi (PTR)) kaynak kayıtlarını ekleme ve önceden kaydettirilen ad olan oldhost.tailspintoys.com için aynı kayıt türlerini kaldırma yönergeleri içerir.
Sunucu ayrıca, istemci isteği için güncelleştirmelere izin verilip verilmediğini de denetler. Standart birincil bölgeler için dinamik güncelleştirmelerin güvenliği sağlanmaz; bu nedenle, istemciler tarafından gerçekleştirilen tüm güncelleştirme girişimleri başarılı olur. AD DS ile tümleşik bölgeler için güncelleştirmelerin güvenliği sağlanır ve dizin tabanlı güvenlik ayarları kullanılarak gerçekleştirilir.
Dinamik güncelleştirmeler düzenli olarak gönderilir veya yenilenir. Varsayılan olarak, bilgisayarlar yedi günde bir bir yenileme gönderir. Güncelleştirme sonucunda bölge verilerinde hiçbir değişiklik yapılmazsa, bölge geçerli sürümünde kalır ve hiçbir değişiklik yazılmaz. Yalnızca adlar veya adresler değişirse güncelleştirmeler asıl bölge değişikliklerine veya bölge aktarmasının artmasına neden olur.
DHCP İstemcisi hizmeti bir bilgisayar için ana bilgisayar (A) ve işaretçi (PTR) kaynak kayıtlarını kaydettirdiğinde, ana bilgisayar kayıtları için varsayılan önbellekleme Yaşam Süresi (TTL) olarak 15 dakika değerini kullanır. Bu, bir bilgisayarın kayıtları sorgu yanıtına dahil olduğunda diğer DNS sunucularının ve istemcilerin bu kayıtları ne kadar süreyle önbelleğe alacaklarını belirler.
Güvenli dinamik güncelleştirme
DNS güncelleştirme güvenliği yalnızca AD DS ile tümleşik bölgeler için sağlanır. Bir bölge dizinle tümleştirildiğinde, DNS Yöneticisi'nde erişim denetim listesi (ACL) düzenleme özellikleri kullanılabilir; böylece, belirli bir bölge veya kaynak kaydı için ACL'ye kullanıcılar ya da gruplar ekleyebilir veya bunları ACL'den kaldırabilirsiniz.
Varsayılan olarak, DNS sunucuları ve istemcileri için dinamik güncelleştirme güvenliği aşağıdaki gibi işlenebilir:
-
DNS istemcileri ilk olarak güvenli olmayan dinamik güncelleştirme işlemini kullanmaya çalışır. Güvenli olmayan bir güncelleştirme reddedilirse, istemciler güvenli güncelleştirmeyi kullanmaya çalışır.
Ayrıca istemciler, özellikle bir güncelleştirme güvenliği tarafından bloke edilmedikçe, önceden kaydedilmiş bir kayıt kaynağının üzerine yazmaya çalışmalarına izin veren varsayılan bir güncelleştirme ilkesi kullanır.
-
Bir bölge AD DS ile tümleşik hale geldikten sonra, Windows Server® 2008 çalışan DNS sunucuları varsayılan olarak yalnızca güvenli dinamik güncelleştirmelere izin verir.
Standart bölge deposu kullandığınızda, DNS Sunucusu hizmeti varsayılan olarak kendi bölgelerinde dinamik güncelleştirmelere izin vermez. Dizin ile tümleşik olan veya standart dosya tabanlı depolar kullanılan bölgeler için, bölgeyi tüm dinamik güncelleştirmelere izin verecek biçimde değiştirerek tüm güncelleştirmelerin kabul edilmesini sağlayabilirsiniz.